第三方风险管理的关键问题与网络安全公司排名

关键要点

最近一项关于网络安全公司的排名揭示了第三方风险管理实践中的不足之处。目前存在的问题是，现有的评估方法无法充分反映企业的实际风险状况。第三方风险管理TPRM行业亟需更有效的解决方案，以理解与供应商相关的潜在风险。

来源 Elnur/Shutterstock

最近一篇福布斯文章热议美国网络安全最强企业，而网络安全界对此已引发了不少争论。老实说，我还没读这篇文章，但我很快就会去看。我将分两个部分来写：读前和读后。

一：哪些是最网络安全的公司？

如果让我列出最网络安全的公司这到底意味着什么？，我会给出一个初步名单，顺序大致如下：

顶级公司： Google、Apple、Microsoft、Amazon

次级公司： 美国银行、高盛、富达、Capital One、Meta、LinkedIn、联合航空、Akamai我曾是Akamai的首席安全官、Cloudflare、Fastly

这个名单并不打算全面列举。我花了五分钟时间在想，“谁拥有大量数据，或系统性控制大规模的系统，并且做得还不错？”

黑洞加速器安卓app

二：第三方风险管理的问题

在阅读完福布斯的文章后，我发现联合航空和富达进入了前20名。其他我原本猜测的金融服务公司大多位于前100名，但没有基础设施公司上榜。令人娱乐的是，这个排行榜的作者们和我意见一致，认为联合航空在其行业中确实是佼佼者。联合航空的首席信息安全官Deneen DeFiore肯定做得很出色。但这就是我们唯一的共识。到底发生了什么呢？

这个榜单是由SecurityScorecard发布的，这是第三方风险管理TPRM行业的旗舰公司之一。TPRM公司面临的挑战很简单：为与其他公司合作的企业提供一种机制，以评估其供应商在网络安全方面带来的风险。SecurityScorecard和它的主要竞争对手BitSight使用类似的方法论：创建一个风险评分类似于你的信用评分，评估公司并进行打分。听起来简单，对吧？

实际上并非如此。试想一下，如果信用评级机构决定用对个人的信用评分算法来评估大型企业，那结果肯定不会好！想一下Google的网络边界所有它公开可见的IP地址相较于Intel在福布斯排行榜中名列第一。其中一个主要是芯片制造商，我真心希望他们的外部足迹非常小。这告诉我们关于Intel的网络安全实践几乎没有任何信息，我希望他们的关注点更多在于产品和制造安全这对他们的评分没有贡献，而不是网站安全这影响他们的评分。而另一方面，Google看起来像是网络上的房东，他们的地址性IP空间是全球最大的，当然在外界初步观察时会显得不太美好，尤其是如果评估的标准之一是攻击面大小。

信用评级机构，不论好坏，拥有比TPRM评分公司更多的数据。他们深植于我们的金融系统，收集很多本不该公开的信息。而TPRM评分公司则像是随便走马观花般的评估。他们只看企业在互联网上的外部表现，基于这些外部表现来判断其声誉。显然，特定类型的企业比其他企业看上去更有保障。

相较于TPRM评分的替代方案，令人遗憾的是，TPRM问卷行业仅稍微好一点。这个行业专注于向供应商发送大量问卷，需要花费巨大的精力去填写。专门团队随后审核答案，以寻找任何看起来是“否”的答案来跟进所有成熟的供应